據(jù)BleepingComputer消息，一個(gè)基于Mirai的新型僵尸網(wǎng)絡(luò)正在積極利用DigiEver網(wǎng)絡(luò)錄像機(jī)中的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞尚未獲得編號(hào)，也暫無(wú)修復(fù)補(bǔ)丁。

Akamai 研究人員觀(guān)察到，該僵尸網(wǎng)絡(luò)于 11 月中旬開(kāi)始利用該漏洞，但證據(jù)表明該活動(dòng)至少自 9 月以來(lái)就一直活躍。

除了 DigiEver 漏洞外，新的 Mirai 惡意軟件變體還分別利用CVE-2023-1389和 CVE-2018-17532 漏洞針對(duì)未打安全補(bǔ)丁的 TP-Link 和 Teltonika RUT9XX 路由器。

研究人員稱(chēng)，被用來(lái)攻擊 DigiEver NVR 的遠(yuǎn)程代碼執(zhí)行 （RCE） 漏洞源自“/cgi-bin/cgi_main. cgi”URI，該URI 未正確驗(yàn)證用戶(hù)輸入，允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者通過(guò)某些參數(shù)（如 HTTP POST 請(qǐng)求中的 ntp 字段）注入 "curl "和 "chmod "等命令。

通過(guò)命令注入，攻擊者從外部服務(wù)器獲取惡意軟件二進(jìn)制文件，并將設(shè)備加入其僵尸網(wǎng)絡(luò)。 設(shè)備一旦被入侵，就會(huì)被用來(lái)進(jìn)行分布式拒絕服務(wù)（DDoS）攻擊，或利用漏洞集和憑證列表擴(kuò)散到其他設(shè)備。

Akamai表示，新Mirai變種的顯著特點(diǎn)是使用了XOR和ChaCha20加密技術(shù)，并以x86、ARM和MIPS等多種系統(tǒng)架構(gòu)為目標(biāo)，這不同于許多基于 Mirai 的僵尸網(wǎng)絡(luò)仍然依賴(lài)于原始的字符串混淆邏輯，這種邏輯來(lái)自于原始 Mirai 惡意軟件源代碼發(fā)布時(shí)包含的回收代碼。 雖然采用復(fù)雜的解密方法并不新穎，但這表明基于Mirai的僵尸網(wǎng)絡(luò)的戰(zhàn)術(shù)、技術(shù)和程序在不斷發(fā)展。

據(jù)悉，早在去年羅馬尼亞布加勒斯特舉行的 DefCamp 安全會(huì)議上，TXOne 研究員 Ta-Lun Yen就曾揭露過(guò)該漏洞，該問(wèn)題當(dāng)時(shí)影響了多個(gè) DVR 設(shè)備。